根據(jù)Proofpoint針對(duì)英國(guó)CISO的最新調(diào)查,53%的CISO和CSO報(bào)告他們的組織在2020年遭受了至少一次重大網(wǎng)絡(luò)攻擊,其中14%遭受了多次攻擊。
2021年這種趨勢(shì)不會(huì)下降,有64%的人表示擔(dān)心其組織在2021年有遭受攻擊的風(fēng)險(xiǎn)。大型企業(yè)面臨更大的威脅,人員規(guī)模超過2500名員工的企業(yè)中,89%的CSO和CISO表示擔(dān)心,而規(guī)模超過5,000人的企業(yè)中有83%擔(dān)心受到攻擊。但更令人擔(dān)憂的是,仍然有28%的受訪者認(rèn)為2021年網(wǎng)絡(luò)攻擊不會(huì)造成大麻煩。
勒索軟件是最大威脅
根據(jù)Risk Based的全球數(shù)據(jù)泄露事件年度分析,2020年全球數(shù)據(jù)泄露事件的數(shù)量下降了一半,降至不到4,000例,但泄露數(shù)據(jù)記錄的數(shù)量增加了一倍以上,同期勒索軟件泄露的數(shù)據(jù)數(shù)量也翻了一番,這表明攻擊者正在將更多精力放在勒索軟件上,而數(shù)據(jù)泄露(勒索)已經(jīng)逐漸成為勒索軟件的“標(biāo)準(zhǔn)操作”之一。
2021年,隨著云計(jì)算的快速普及,勒索軟件越來越多地將以云存儲(chǔ)為目標(biāo),以最大程度地發(fā)揮影響力并增加杠桿作用以提高利潤(rùn)、擴(kuò)大企業(yè)數(shù)據(jù)泄露規(guī)模和風(fēng)險(xiǎn)。
Proofpoint的調(diào)查顯示,有46%的CSO/CISO認(rèn)為勒索軟件是未來兩年對(duì)其業(yè)務(wù)最大的網(wǎng)絡(luò)安全威脅。其次是云賬戶入侵(39%)、內(nèi)部威脅(33%)和網(wǎng)絡(luò)釣魚(30%)。
值得注意的是,只有24%的CSO/CISO認(rèn)為模擬攻擊和商業(yè)電子郵件攻擊(BEC)是潛在的最大網(wǎng)絡(luò)威脅。但事實(shí)上BEC攻擊已經(jīng)迅速成為全球造成損失最大的網(wǎng)絡(luò)風(fēng)險(xiǎn)之一(FBI估計(jì)三年來BEC造成的損失為265億美元),該項(xiàng)調(diào)查數(shù)據(jù)表明許多IT領(lǐng)導(dǎo)者低估了BEC風(fēng)險(xiǎn)。
網(wǎng)絡(luò)犯罪集團(tuán)相互協(xié)作
雖然勒索軟件仍然是企業(yè)面臨的最大威脅,但是2021年一個(gè)不可忽視的重要變化是網(wǎng)絡(luò)犯罪集團(tuán)之間的相互協(xié)作。
網(wǎng)絡(luò)犯罪分子最常利用的三種攻擊獲利方式是BEC、電子郵件賬戶泄露(EAC)和勒索軟件。過去,許多專門從事BEC和EAC的攻擊者即使擁有必要的訪問權(quán)限,也往往不會(huì)充當(dāng)勒索軟件的初始訪問代理。同樣,勒索軟件攻擊者也不會(huì)利用BEC和EAC攻擊。但是Proofpoint認(rèn)為,隨著威脅行為者越來越多地協(xié)作以進(jìn)行更有效的攻擊并獲得更高的利潤(rùn),這種情況將在2021年發(fā)生改變。
例如,我們將看到公司被EAC攻擊后,攻擊者又將訪問權(quán)“轉(zhuǎn)售”給另一個(gè)組織以實(shí)施勒索軟件攻擊,或者EAC小組提高技能并開始利用市售的勒索軟件工具。此外還要注意更高級(jí)的BEC和EAC攻擊。
人為錯(cuò)誤是最大風(fēng)險(xiǎn)
55%的受訪CISO/CSO認(rèn)為,無論采用何種網(wǎng)絡(luò)安全解決方案,人為錯(cuò)誤/網(wǎng)絡(luò)安全意識(shí)淡漠依然是其業(yè)務(wù)的最大風(fēng)險(xiǎn)。
員工有以下行為最容易導(dǎo)致企業(yè)遭受網(wǎng)絡(luò)攻擊:
點(diǎn)擊惡意鏈接或下載受感染的文件(43%);
成為網(wǎng)絡(luò)釣魚電子郵件的受害者(39%);
故意泄露數(shù)據(jù)(35%);
未經(jīng)授權(quán)使用設(shè)備和應(yīng)用程序(35%)。
但是,盡管IT領(lǐng)導(dǎo)知道員工可能對(duì)其業(yè)務(wù)構(gòu)成的風(fēng)險(xiǎn),但仍有44%的受訪者表示他們不知道組織中風(fēng)險(xiǎn)最高的員工是誰。
員工培訓(xùn)和意識(shí)是重中之重
改善員工培訓(xùn)和意識(shí)是重中之重,但仍然存在障礙。盡管人為錯(cuò)誤和缺乏網(wǎng)絡(luò)安全意識(shí)給組織帶來了很高的風(fēng)險(xiǎn),但只有28%的受訪企業(yè)承認(rèn)每年進(jìn)行兩次以上的全面安全意識(shí)培訓(xùn)活動(dòng)。
但是,有73%的受訪者認(rèn)為需要改善員工的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。盡管CISO面臨眾多挑戰(zhàn),但仍有49%的受訪CISO將(安全意識(shí)培訓(xùn))作為2021年的頭等大事。
不幸的是,對(duì)于許多CSO/CISO來說,這可能是一場(chǎng)艱苦的戰(zhàn)斗,因?yàn)?4%的人認(rèn)為有限的時(shí)間和資源是制定有效安全意識(shí)培訓(xùn)計(jì)劃的障礙,而50%的人認(rèn)為董事會(huì)沒有足夠重視有效網(wǎng)絡(luò)安全防護(hù)的重要性。
企業(yè)仍未做好安全遠(yuǎn)程工作的準(zhǔn)備
在2021年,許多企業(yè)正在為其員工尋找長(zhǎng)期的遠(yuǎn)程工作計(jì)劃。
盡管自新冠病毒大流行開始以來,大多數(shù)企業(yè)有9個(gè)月的計(jì)劃和準(zhǔn)備時(shí)間,但僅22%的CISO認(rèn)為其員工已經(jīng)具備充分的能力和裝備進(jìn)行遠(yuǎn)程工作,這表明很多企業(yè)為了業(yè)務(wù)的連續(xù)性倉(cāng)促實(shí)施遠(yuǎn)程辦公,導(dǎo)致很多支持工作并未跟上(IT與網(wǎng)絡(luò)安全、人員培訓(xùn))。
正如調(diào)查數(shù)據(jù)所反映的,64%的CISO認(rèn)為他們的組織當(dāng)前由于遠(yuǎn)程工作而更容易受到網(wǎng)絡(luò)威脅。
網(wǎng)絡(luò)安全預(yù)算預(yù)期增加
73%的受訪CSO/CISO預(yù)計(jì)其網(wǎng)絡(luò)安全預(yù)算將在未來兩年內(nèi)增加。有25%的人預(yù)計(jì)他們的預(yù)算會(huì)增加10%以上。受訪CSO/CISO還報(bào)告說,在提高員工網(wǎng)絡(luò)安全意識(shí)(49%)之后,投資雇用新人才和提高員工技能是2021年的第二高優(yōu)先級(jí)任務(wù)(47%)。
Proofpoint的CISO安德魯·羅斯指出:“令人鼓舞的是,大多數(shù)IT領(lǐng)導(dǎo)者已經(jīng)意識(shí)到他們所面臨的風(fēng)險(xiǎn)和挑戰(zhàn)。不過,讓人擔(dān)心的是商務(wù)電子郵件攻擊沒有得到應(yīng)有重視,因?yàn)樗壤账鬈浖毡?,并且仍然能夠造成巨大的?cái)務(wù)損失。企業(yè)將員工安全意識(shí)作為優(yōu)先事項(xiàng),這是積極的信號(hào),因?yàn)槎ㄆ诤腿娴陌踩庾R(shí)培訓(xùn)對(duì)于建立高彈性的安全文化至關(guān)重要。以人為本的策略對(duì)于組織來說是必須的,首先要確定最脆弱的用戶,并確保他們掌握了保護(hù)自己和企業(yè)的知識(shí)和工具。”